Société nationale SNCF, société anonyme à conseil d'administration, au capital social de 
1 000 000 000 €, immatriculée au Registre du Commerce et des Sociétés de Bobigny sous le numéro 552 049 447, dont le siège social est situé SNCF Campus Étoiles, 2, place aux Étoiles, 93200 Saint-Denis (ci-après, « la Société ») traite des données à caractère personnel, à des fins de gestion et de suivi de ses activités d’affaires publiques et de représentation d’intérêts.  

À cet égard, la Société applique les principes définis par les dispositions légales et réglementaires qui lui sont applicables en matière de protection des données à caractère personnel, en particulier ceux prévus par  le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « RGPD »), ainsi que par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (dite « loi Informatique et libertés ») et ses décrets d’application.

La présente politique de protection des données à caractère personnel (ci-après la « politique de protection des données ») a pour objet de vous informer sur les traitements de données à caractère personnel mis en œuvre par la Société, en sa qualité de responsable de traitement, ainsi que sur les modalités selon lesquelles vos données sont collectées, utilisées et protégées.

La politique de protection des données précise également les droits que vous détenez sur vos données à caractère personnel en application des dispositions légales et réglementaires applicables.

Outre les termes définis par ailleurs dans la présente politique, les termes suivants, qu’ils soient employés au singulier ou au pluriel dans ladite politique, ont la signification suivante :

• « Destinataire » : désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.
• « Donnée à caractère personnel » : désigne toute information se rapportant à une personne physique identifiée ou identifiable (cf. « personne concernée ») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
• « Responsable de traitement » : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement.
• « Sous-traitant » : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
• « Traitement » : désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation ou la destruction.

Les données à caractère personnel collectées dans le cadre des traitements fondés sur une obligation légale ou sur l’intérêt légitime de la Société sont nécessaires à la réalisation des finalités poursuivies. À défaut de communication de ces données, la Société pourrait ne pas être en mesure de satisfaire à ses obligations légales ou de poursuivre les finalités fondées sur son intérêt légitime.

Certaines données à caractère personnel sont également nécessaires pour le traitement des demandes d’exercice de droits. À défaut de leur communication, la Société pourrait ne pas être en mesure de traiter votre demande.

Vos données à caractère personnel sont collectées directement et indirectement et proviennent notamment des sources suivantes :

• sources publiques ;
• base de données biographiques fournie par un prestataire ;
• sites internet ou publications d’entités (institutions, organisations, administrations, etc.) auxquelles vous êtes rattachés ;
• newsletters, publications ou toute autre source d’information accessible au public ;
• bases de données professionnelles ou annuaires de services publics ;
• presse, sites internet et réseaux sociaux.

Les données à caractère personnel sont conservées pendant une durée de cinq (5) ans à compter de la fin de l’année civile au cours de laquelle l’action de représentation d’intérêts a été réalisée. Cette durée constitue une durée de conservation de principe, sous réserve de l’exercice de vos droits d’effacement et d’opposition, pour les traitements fondés sur l’intérêt légitime, et dans les conditions précisées ci-après dans l’article 10 « Exercice des droits des personnes concernées » de la présente politique.

S’agissant des données traitées aux fins de réalisation des déclarations requises auprès de la HATVP, celles-ci sont conservées jusqu’à l’envoi desdites déclarations à l’autorité, puis supprimées.

Dans le cadre de la mise en œuvre des traitements de vos données à caractère personnel, seules les personnes habilitées au sein de la Société peuvent accéder à ces données lorsque cet accès est nécessaire à l’exercice de leurs fonctions et / ou leurs missions.

Des personnes externes à la Société peuvent également, dans des cas limités et déterminés, être amenés à recevoir communication de vos données à caractère personnel ou à y accéder, à savoir :

• Les services ou entités chargé(e)s du contrôle de la Société (commissaire aux comptes, services ou entités chargé(e)s des procédures internes ou externes de contrôle, organismes habilités à procéder à des contrôles, HATVP, etc.) ;
• Les conseils (juridiques, financiers, comptables, etc.) de la Société ;
• Les partenaires de la Société, en ce incluant notamment les prestataires et fournisseurs, actuels ou potentiels, les prestataires techniques ou autres intervenants dans le cadre d’activités ou de missions pour lesquelles un accès aux données à caractère personnel est nécessaire et/ou justifié. ;

Cette catégorie de destinataires peut inclure également tout éditeur d’application, de programme informatique ou d’outil qui serait utilisé(e) dans le cadre de nos activités, ou encore tout prestataire informatique ou de maintenance des applications, programmes informatiques et/ou outils utilisés par la Société et dans lequel (le)s vos données à caractère personnel pourraient être traitées.

La Société peut par ailleurs être tenue de communiquer vos données à caractère personnel en cas de demandes légitimes d’autorités publiques ou habilitées, sur le fondement de dispositions légales ou réglementaires qui lui sont applicables.

Il est précisé que les destinataires visés ci-dessus sont uniquement destinataires des données à caractère personnel strictement nécessaires à la réalisation de la finalité impliquant une telle communication.

Vos données sont hébergées en France. Elles ne font l’objet d’aucun transfert en dehors de l’Union Européenne.

L’utilisation de vos données ne donne lieu à aucune prise de décision automatisée à votre égard.

La Société a désigné un délégué à la protection des données ([email protected]).

Dans les limites et les conditions autorisées par la réglementation en vigueur, à savoir la loi Informatique et libertés et le RGPD, toute personne concernée par un traitement de données à caractère personnel dispose, du droit de demander au responsable du traitement l'accès à ses données à caractère personnel, la rectification ou l'effacement de celles-ci, la limitation du traitement la concernant, ainsi que du droit de définir des directives sur le sort de ses données après sa mort, du droit de s'opposer au traitement de ses données.

Pour exercer vos droits sur vos données à caractère personnel traitées dans le cadre des activités d’affaires publiques et de représentation d’intérêts, vous pouvez adresser votre demande par courriel à l’adresse suivante : [email protected]. 

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à la Commission Nationale de l’Informatique et des Libertés (CNIL).